Offenlegung von Sicherheitslücken

Zuletzt aktualisiert: 31 Oktober 2024.

Einführung

Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Lücken, die Sie Backorder Ltd („wir“, „uns“ oder „unser“) melden möchten.

Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Sicherheitslücken vollständig zu lesen, bevor Sie eine Lücke melden, und sich stets daran zu halten.

Wir schätzen es sehr, wenn sich jemand die Zeit und Mühe nimmt, Sicherheitslücken gemäß dieser Richtlinie zu melden. Bitte beachten Sie jedoch, dass wir keine finanziellen Belohnungen für die Meldung von Sicherheitslücken anbieten.

Geltungsbereich

https://backorder.com

Meldungen

Wenn Sie glauben, eine Sicherheitslücke im Zusammenhang mit unserer Website gefunden zu haben, senden Sie bitte einen Bericht in englischer Sprache an die in der veröffentlichten Datei security.txt angegebene Adresse.

Ihr Bericht sollte Folgendes enthalten:

  • Die URL der Website oder die Seite, auf der die Sicherheitslücke festgestellt wurde
  • Eine kurze Beschreibung der Art der Sicherheitslücke
  • Maßnahmen zur Reproduktion. Dabei sollte es sich um einen harmlosen, nicht destruktiven Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und präzise ausgewertet werden kann.

Was danach passiert

Nachdem Sie Ihren Bericht eingereicht haben, werden wir innerhalb von 5 Werktagen auf Sie reagieren und uns bemühen, den Bericht innerhalb von 10 Werktagen zu bearbeiten. Selbstverständlich halten wir Sie regelmäßig über den Fortschritt auf dem Laufenden.

Die Priorität der Behebung wird auf Basis der Auswirkungen, des Schweregrads und der Komplexität der Sicherheitslücke festgelegt. Die Bearbeitung von Berichten kann je nach Fall einige Zeit in Anspruch nehmen. Sie können den Status jederzeit anfragen, bitten jedoch darum, dies nicht öfter als alle 14 Tage zu tun, damit wir uns auf die Behebung konzentrieren können.

Sobald die Sicherheitslücke behoben wurde, werden wir Sie informieren. Gegebenenfalls bitten wir Sie, zu bestätigen, dass die Lösung die Lücke ausreichend abdeckt.

Nachdem die Sicherheitslücke behoben wurde, freuen wir uns über Ihre Anfrage zur Veröffentlichung des Berichts. Um eine einheitliche Vorgehensweise sicherzustellen, bitten wir Sie, die Veröffentlichung weiterhin mit uns abzustimmen.

Hinweise

Sie dürfen NICHT:

  • Gegen geltende Gesetze oder Vorschriften verstoßen.
  • Auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen.
  • Daten in unseren Systemen oder Diensten verändern.
  • Invasive oder zerstörerische Scan-Tools hoher Intensität verwenden, um Sicherheitslücken zu finden.
  • Jede Form der Dienstverweigerung anstreben oder melden, z.B. einen Dienst mit einer hohen Anzahl von Anfragen überwältigen.
  • Unsere Dienste oder Systeme stören.
  • Berichte über nicht ausnutzbare Sicherheitslücken einreichen oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header.
  • Berichte über Schwachstellen in der TLS-Konfiguration einreichen, z.B. "schwache" Cipher-Suite-Unterstützung oder das Vorhandensein von TLS1.0-Unterstützung.
  • Schwachstellen oder damit verbundene Details auf andere Weise als in der veröffentlichten security.txt beschrieben zu kommunizieren.
  • Social Engineering, „Phishing“ oder physische Angriffe auf unsere Mitarbeiter oder unsere Infrastruktur durchführen.
  • Eine finanzielle Entschädigung für die Offenlegung von Sicherheitslücken verlangen.

Sie müssen:

  • Sie müssen die Datenschutzbestimmungen einhalten und dürfen die Privatsphäre der von uns gespeicherten Daten nicht verletzen. Sie dürfen z.B. keine von den Systemen oder Diensten abgerufenen Daten weitergeben, verbreiten oder nicht ordnungsgemäß sichern.
  • Sie müssen alle Daten, die Sie im Rahmen Ihrer Nachforschungen abgerufen haben, sicher löschen, sobald sie nicht mehr benötigt werden oder innerhalb von 1 Monat nach Behebung der Sicherheitslücke, je nachdem, was zuerst eintritt (oder wie es das Datenschutzgesetz vorschreibt)..

Rechtliche Hinweise

Diese Richtlinie ist so konzipiert, dass sie mit der üblichen Vorgehensweise bei der Offenlegung von Sicherheitslücken vereinbar ist. Sie gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass wir gegen rechtliche Verpflichtungen verstoßen.